EntiOnLine
Categorie
indietro
23/06/2020 RACCOMANDAZIONE: misure di responsabilizzazione (accountability)
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Il servizio di protezione dei dati personali All privacy di Entionline ha adottato il Programma dei controlli 2020 in ordine alla regolarità dei trattamenti effettuato dalle pubbliche amministrazioni nelle quali è attivo il servizio medesimo.

L'attività svolta nel primo semestre del 2020 ha evidenziato la necessità di richiamare l'attenzione di ogni singola amministrazione sul principio di responsabilizzazione. Riguardo si ricorda che al riguardo si ricorda che, come evidenziato dalla guida all'applicazione del regolamento europeo a cura del garante, "il regolamento pone con forza l'accento sulla "responsabilizzazione" (accountability nell'accezione inglese) di titolari e responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento (si vedano artt. 23-25, in particolare, e l'intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. Il primo fra tali criteri è sintetizzato dall'espressione inglese "data protection by default and by design" (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio ("sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso", secondo quanto afferma l'art. 25(1) del regolamento) e richiede, pertanto, un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili. Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest'ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati adottate dal Gruppo "Articolo 29", qui disponibili: www.garanteprivacy.it/regolamentoue/DPIA).

Ciò premesso, lo scrivente Servizio di Protezione dei dati personali, richiamando il principio di accountability,

RACCOMANDA

all'amministrazione, in qualità di titolare:

1. di consultare lo scrivente Servizio di protezione dei dati personali prima di iniziare nuovi trattamenti di dati personali catterizzati da un rischio elevato di impattare sul diritto di libertà delle persone ai quali i dati si riferiscono, al fine di ottenere parere in ordine alle misure da porre in essere per mitigare sufficientemente il rischio.

Fonte:

Banca dati